開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

株式会社ネットワークバリューコンポネンツ提供コンテンツ

  • スペシャル
  • 会員限定
  • 2021/08/27

「うちからは漏えいしてないのに…」顧客のID/Pass使い回しで会員制サイトが陥る危機

Eコマースなど多くの会員を抱えているWebサイトを運営している企業にとって、不正アクセス・不正ログインは頭の痛い問題だ。特に漏えいしたアカウントリストを使って不正ログインを試みる攻撃は、対策が難しい。万が一ログインが成功すると、情報漏えいなどの重大事故につながる可能性が高く、レピュテーションも著しく傷つく。ここでは、こうした漏えいアカウントによる不正ログインに対して、企業がとりうる対策を整理する。

photo
自社のコントロール範囲外で、リスクが生じているかもしれない
(Photo/Getty Images)

そのID/Passはすでに漏れている?会員サイトに危機が迫る

 Eコマースやネットバンキングなど、Webサイトがビジネスの中核となっている企業は数多い。こうした企業が必ず直面する課題が、不正アクセスや不正ログインだ。

 特にIDとパスワードを不正に抜き取り、正規のユーザーに成りすましてログインする「アカウントテイクオーバー(ATO:Account Takeover)」(アカウント乗っ取り)は、会員サイトを運営している企業にとって対策が難しい攻撃である。

 その理由の1つが、攻撃者がすでに漏えいしたアカウントを使って攻撃を仕掛けるためだ。ダークウェブでは、さまざまなWebサイトで漏えいしたアカウント情報が売買されており、リストを手にした攻撃者は、それを使って会員サイトにログインを試みる。

 もしユーザーがIDやパスワードなどのアカウント情報を使い回していた場合は、自社で漏えいが起きていなくとも、情報流出やポイント・クレジットカードの不正使用といった被害が発生してしまい、責任を問われることになる。

 ユーザーに対してアカウント情報を使い回さないよう警告したとしても、それで100%使いまわしを防ぐことは不可能だろう。

 攻撃者の多くは、手に入れた漏えいアカウントのリストとボットを組み合わせて、効率的に攻撃を仕掛けてくるため、多要素認証、たとえば簡単なパズルを解かせて人間であることを識別するCAPTCHAなどはよく知られた対策の1つであるが、それよりも根本的な解決となるのは、アクセスしてきたアカウントが漏えいしているかどうかを判断することだ。

この記事の続き >>
・アカウント漏えいを瞬時に判定する方法
・金融、保険、Eコマース、ゲーム、医療などの分野で導入が進む
・セキュリティ強化だけでなく、顧客エンゲージメント向上にも貢献

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!